Google, tehdit aktörleri tarafından kullanılan bir ‘zero-day’ güvenlik açığını düzeltmek üzere Chrome tarayıcısı için bir güvenlik güncellemesi yayınladı. Bleeping Computer tarafından bildirildiği üzere, şirket 2024’te beşinci kez bu güvenlik açıklarından biri için bir yama yayınlamak zorunda kaldı. Şirket kısa bir duyuruda “Google, CVE-2024-4671 için bir istismarın vahşi doğada var olduğunun farkındadır” dedi. Gerçek dünyadaki saldırının niteliği ya da tehdit aktörlerinin kimliği konusunda herhangi bir ayrıntı vermedi. Bu, Google için yaygın bir durum, zira şirket belirli ayrıntıları açıklamadan önce kullanıcıların çoğunluğunun yazılımı güncellemesini beklemeyi seviyor. Açık hakkında bazı şeyler biliyoruz. “Yüksek önem derecesine sahip bir sorun” ve kullanıcıdan sonra serbest bir güvenlik açığı olarak sınıflandırılıyor. Bu hatalar, programın bir bellek konumuna ayrıldıktan sonra başvurması durumunda ortaya çıkar ve çökme durumundan rastgele kod çalıştırmaya kadar bir dizi ciddi sonuca yol açar. Görünüşe göre CVE-2024-4671 güvenlik açığı, tarayıcıda içerik oluşturma ve görüntüleme işlemlerini gerçekleştiren görseller bileşenine bağlı.
Açık, anonim bir araştırmacı tarafından keşfedilmiş ve Google’a bildirilmiştir. Düzeltme; Mac, Windows ve Linux için mevcut ve güncellemeler önümüzdeki günlerde ve haftalarda kullanıcılara sunulmaya devam edecek. Chrome, güvenlik düzeltmeleriyle otomatik olarak güncellenmektedir, bu nedenle kullanıcılar Ayarlar >> Chrome Hakkında bölümüne giderek tarayıcının en son sürümünü çalıştırdıklarını teyit edebilirler. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcıları da güncelleme sunulur sunulmaz yeni sürüme yükseltme yapmalıdır. Belirtildiği üzere bu, 2024 yılında Google tarafından ele alınan benzer kusurların beşincisi. Üç tanesi Mart ayında Vancouver’da düzenlenen Pwn2Own hack yarışmasında keşfedilmişti. Google 2020 yılında bir ay içinde beş tane bulmuş ve düzeltmişti. Zero-day açıkları Google’ın sürekli başını ağrıtan bir sorun olmuştur. Bunlar, bilgisayar yazılımı, donanımı ya da aygıt yazılımındaki bilinmeyen ya da ele alınmamış bir güvenlik açığından yararlanan bir tür siber saldırıdır. Şirket, Güvenlik Açığı Ödülleri Programı kapsamında hata keşifleri için genellikle büyük paralar ödüyor.